W dzisiejszych czasach wycieki danych stały się niepokojącą normą. Co chwilę dowiadujemy się o kolejnej firmie, która padła ofiarą cyberataku lub nieodpowiedniego zabezpieczenia informacji. Jeszcze bardziej frustrujące jest, jednak gdy firma próbuje ukryć incydent, zamiast otwarcie poinformować o zagrożeniu swoich klientów.
Na początku marca haker posługujący się pseudonimem Rose87168 ogłosił, że udało mu się włamać do serwerów federacyjnych SSO Oracle Cloud i wykraść około 6 milionów rekordów, należących do ponad 144 000 klientów. Według doniesień, dane te zawierały: poświadczenia logowania SSO, hasła LDAP, klucze OAuth2 i dane klientów Oracle.
Rose87168 nie poprzestał na samym ujawnieniu włamania – zagroził, że jeśli firmy nie zapłacą, ich dane trafią na sprzedaż. Ponadto haker zwrócił się do społeczności cyberprzestępczej z prośbą o pomoc w łamaniu skrótów haseł w zamian za część wykradzionych informacji.
Dzień po opublikowaniu pierwszych próbek wykradzionych danych, Oracle wydało oficjalne oświadczenie, w którym stwierdziło, że nie doszło do żadnego naruszenia.
Oracle zaprzecza, haker publikuje dowody
Dzień po opublikowaniu pierwszych próbek wykradzionych danych, Oracle wydało oficjalne oświadczenie dla serwisu Bleeping Computer, w którym stwierdziło, że nie doszło do żadnego naruszenia ich usług chmurowych.
W odpowiedzi na to zaprzeczenie Rose87168 zaczął publikować kolejne "dowody" ataku, które trafiły do mediów oraz ekspertów ds. cyberbezpieczeństwa. Analiza przeprowadzona przez CloudSEK oraz Hudson Rock potwierdziła, że wyciek zawiera prawdziwe i aktualne dane użytkowników.
Według CloudSEK, atak został przeprowadzony z wykorzystaniem tzw. luki zero-day (CVE-2021-35587) w oprogramowaniu Oracle Fusion Middleware, co umożliwiło hakerowi uzyskanie dostępu do systemu bez autoryzacji.
Eksperci potwierdzają autentyczność wycieku
Eksperci ds. bezpieczeństwa, w tym zespoły z Trustwave SpiderLabs, Hudson Rock oraz CloudSEK, niezależnie przeanalizowali próbki danych i potwierdzili, że są one prawdziwe. Trustwave w swoim raporcie wskazało, że ujawniona baza danych pochodzi z systemu tożsamości i zarządzania dostępem, takiego jak Microsoft Active Directory czy Oracle Identity Manager.
Oprócz poświadczeń logowania, zawierała również dane osobowe, w tym: imiona i nazwiska, adresy e-mail, stanowiska służbowe, numery telefonów a nawet dane kontaktowe do domów użytkowników. Na dodatek, haker opublikował nagranie wewnętrznego spotkania Oracle, co jeszcze bardziej podważyło stanowisko firmy w tej sprawie.
Oracle manipuluje narracją?
Cyberbezpieczeństwa Kevin Beaumont zwrócił uwagę na dziwnie sformułowane oświadczenie Oracle. Firma wielokrotnie powtórzyła frazę „Oracle Cloud”, sugerując, że incydent dotyczył starszych usług, określanych teraz jako Oracle Classic. Eksperci uznali to za próbę bagatelizowania problemu i unikania odpowiedzialności. Mimo licznych dowodów oraz analiz niezależnych firm, Oracle od momentu pierwszego oświadczenia nie skomentowało sprawy, co wielu specjalistów uważa za nieodpowiedzialne i nieprofesjonalne.
W obliczu milczenia Oracle, Alon Gal z Hudson Rock oraz inni eksperci doradzają użytkownikom zagrożonych systemów skorzystanie z wytycznych CloudSEK w celu zminimalizowania ryzyka. Brak oficjalnej reakcji Oracle pozostawia klientów w niepewności i naraża ich na potencjalne ataki wykorzystujące skradzione dane.
Pokaż / Dodaj komentarze do: Oracle ukryło poważny wyciek danych klientów, teraz haker wystawił je na sprzedaż